信息安全的一个重要方面就是网络设备自身的安全和正常运行。影响设备安全的主要因素有三个:
- 设备自身缺陷,比如设计过程中考虑不周全、程序编写中存在Bug等
- 管理失控,由于管理和管理技术上的漏洞使得攻击者获得对设备的控制权
- 拒绝服务攻击,利用网络协议或设备设计中的弱点耗尽设备系统资源,使得设备不能正常工作或提供有效服务。
本文试图针对上述安全因素中的第二点,即网络管理中的安全保障问题,进行一些探讨。
一. 管理信道(management channel)
从管理信道角度看,网络管理可分为带外管理(out-of-band)和带内管理(in-band)两种管理模式。所谓带内管理是指网络的管理控制信息和用户网络的承载业务信息是通过同一个逻辑信道中传送的;而在带外管理模式中,网络的管理控制信息和用户网络的承载业务信息是在不同的逻辑信道上传送的。一般说来,由于传送信息的隔离,带外管理和带内管理相比,显然前者安全程度要高。
常见的设备带外管理方式有以下几种:
- 通过设备的控制端口直接管理,比如常说的设备Console口或Aux口
- 独立的网管网,比如为网管单独配置一个管理VLAN、或专用VPN、或为网管单独建设一个物理的网管网
一般说来,通过Console口来管理设备由于本地性较强,因此有较高的安全性,但是也要注意几点:首先,即使可以通过Console口管理,也要要求设备提供身份鉴别机制,如口令输入;其次,如果客观环境要求要通过Modem远程管理设备,也要采用可能的措施来防止安全后门,比如采用有安全机制的Modem、以及在没有使用要求的时候,断开设备和Modem的连接;最后,还要保护好设备存放的场所安全,防止临近攻击(close-in attack)。
通过Console口来管理设备的另一个缺陷是失去了管理上的灵活性、方便性和综合性。这种管理方式下,管理人员看到的只是一台一台独立的设备,难以了解网络全状信息,更谈不上综合管理,提高网络效率,因此也就失去了网络管理的意义。
带外管理的另一种方式,即建立独立的网管网,则集合了网络管理的安全性和灵活性优点。由于此种方式下,管理信息和承载业务信息从逻辑上分开,网络管理面临的威胁空间(包括威胁来源和威胁可能性)就大大减小,这个时候要首先注意的是管理权限的控制,比如采用严格的口令管理机制等等,其次还要防止分发式攻击(distributed attack),即在设备分发和系统升级过程中,设备被置入木马或后门。
建立独立网管网的一个缺陷是成本和技术可行性问题。对局域网来讲,为网管配置一个单独的管理VLAN没有问题,而在广域环境中,其技术实现成本可能会成为一个问题。但是对运营商来讲,建设独立的网管网是可能的。
带外管理方式虽然安全程度高,但从上面分析我们知道,对大多数用户来讲,由于成本和方便性等原因,它并不会被经常采用。实际操作中,一般的用户基本都会采用带内管理模式,这就要求我们对管理协议的安全性加以分析,判断是否满足用户的信息安全策略(Information Protaction Policy,IPP)。
我们在这里强调在带内管理模式中要选择合适的管理协议,并不意味着在带外管理中就完全可以不考虑管理协议的安全性了。如果在带外管理模式中的专用网络存在被窃听的可能,比如Wiretapping,那管理控制信息在传送中的保密性和完整性同样是我们要考虑的。
